Als je een kaartje of brief naar iemand stuurt, dan kun je er een andere afzender op zetten. De ontvanger denkt dan dat de post van iemand anders komt. Zo gemakkelijk als dit met een kaartje of brief kan, zo gemakkelijk kan dit ook met e-mail.
Spam
Je hoeft niet eens heel handig te zijn om een e-mail namens iemand anders en met een andermans e-mailadres te versturen. Tijdens het versturen van de e-mail wijzig je simpelweg het e-mailadres en de afzender. Spammers maken hier graag gebruik van en wijzigen het e-mailadres in een ander e-mailadres. Of ze veranderen het in jouw e-mailadres, zodat het lijkt alsof ze verzenden vanaf een e-mailadres van jouw domein. Hoewel het wellicht zo lijkt, heeft de afzender geen toegang tot jouw e-mailbox.
Hoe kun je voorkomen dat kwaadwillenden namens jou e-mail versturen?
SPF-record
Door een SPF-record toe te voegen, kun je voorkomen dat anderen met succes je domein misbruiken voor het versturen van spam namens jou. Met een SPF-record geef je aan welke mailservers namens jouw domein e-mail mogen versturen. De ontvangende mailserver vergelijkt vervolgens de informatie uit het SPF-record met de informatie van de uitgaande e-mailserver. Als de informatie niet overeenkomt, identificeert de ontvangende mailserver het e-mailbericht als ongeautoriseerd en bestempelt het als spam.
Een ontvangende server kan op basis van het SPF-record besluiten om een e-mail:
- door te laten
- te markeren als spam
- te weigeren
Wat is een SPF-record?
SPF is de afkorting van Sender Policy Framework. En ‘record’ geeft aan dat het een regel is die aan de DNS van een domeinnaam wordt toegevoegd.
In het SPF-record staat informatie over welke mailservers namens jouw domein e-mail mogen verzenden.
Moet ik zelf een SPF-record aanmaken?
Nee, die heb je al. Stip Hosting maakt het SPF-record standaard voor jou aan wanneer je hosting van ons afneemt. In het SPF-record staat dat e-mail die is verzonden vanaf de server waarop jouw hostingpakket staat legitiem is en dat e-mail vanaf andere locaties moet worden gezien als spam.
Je hoeft zelf geen actie te ondernemen, behalve in de volgende gevallen:
- je ontvangt spam die afkomstig lijkt te zijn van jouzelf
- naast je e-mailadres maak je gebruik van en externe maildienst, bijvoorbeeld een administratie- of e-mailmarketingprogramma
- je maakt volledig gebruik van een externe maildienst, bijvoorbeeld Microsoft Office 365
In bovenstaande situaties moet je dus iets wijzigen aan het SPF-record.
Technische informatie over het SPF-record
Om te weten wat je moet doen als je het SPF-record wilt wijzigen, is het handig als je weet hoe een SPF-record is opgebouwd. Ik leg dit uit aan de hand van een voorbeeld SPF-record.
"v=spf1 a mx ip4:123.123.123.123 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:anderdomein.nl ~all"
- v=spf1
Een SPF record begint altijd met een ‘v=’. Hiermee wordt aangegeven dat het een SPF-record is en welke versie van het SPF protocol (spf1) wordt gebruikt. - a
E-mail mag worden verzonden vanaf alle A-records die worden vermeld in de DNS van het domein. - mx
E-mail mag worden verstuurd via de MX-records van de domeinnaam. - ip4
Het IPv4-adres dat e-mail mag versturen namens jouw domeinnaam. - ip6
Het IPv6-adres dat e-mail mag versturen namens jouw domeinnaam. - include
Andere IP-adressen of domeinen die ook mogen mailen namens jouw domeinnaam. - ~all
Wat moet er gedaan worden wanneer er e-mail verstuurd wordt vanaf een server die er geen toestemming voor heeft? Er zijn vier opties mogelijk, maar in de praktijk worden er twee gebruikt:
~all :softfail: de e-mail wordt doorgelaten, maar kan gemarkeerd worden als spam.
-all: deny: de e-mail wordt geweigerd en dus niet afgeleverd.
Standaard SPF-record van Stip Hosting
Als je bij Stip Hosting een hostingpakket afneemt, wordt het standaard SPF-record aangemaakt. In de meeste gevallen hoef je er verder nies meer aan te doen.
Het standaard SPF-record van onze hosting ziet er zo uit:
"v=spf1 a mx ip4:123.123.123.123 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 ~all"
Het IPv4 en IPv6-adres in bovenstaand SPF-record zijn een nep-adressen. Hier staan het IPv4- en IPv6 adres van de server waarop jouw hostingpakket staat.
SPF-record aanpassen
Het SPF-record wijzig je bij Stip Hosting in DirectAdmin. Samengevat komt dat hierop neer:
- Log in op DirectAdmin.
- Klik onder het kopje Account Manager op DNS Management.
- Klik in het overzicht van de DNS-records bij het SPF-record op het bewerkingssymbool.
- Breng de wijzigingen aan en klik op Edit.
Praktijkvoorbeelden SPF record wijzigen
In drie voorbeeldsituaties laat ik je zien hoe je het SPF-record wijzigt. Ik ga er daarbij vanuit dat je weet hoe je inlogt in het hosting control panel DirectAdmin en hoe je bij de DNS-records komt (zie boven).
SPF-record aanpassen omdat je e-mail ontvangt die afkomstig is van jouzelf
Ontvang je e-mail die afkomstig is van jouw eigen domein, dan is het slim om het SPF-record wat strakker in te stellen. Dit doe je door in het SPF-record ~all te vervangen door -all. Daardoor wordt e-mail die wordt verzonden vanaf andere locaties dan die worden genoemd in het SPF-record, geweigerd door de ontvangende mailserver.
- Klik in het overzicht van de DNS-records bij het SPF-record op het bewerkingssymbool.
- Selecteer bij Mode de optie Fail.
- Klik op Edit.
Waarom stelt Stip Hosting niet meteen automatisch -all in?
Wanneer -all wordt ingesteld in plaats van ~all, dan mag geen enkele server die niet in het SPF-record staat een e-mail sturen. Om te voorkomen dat externe mailservers geen e-mail meer mogen versturen door het automatisch aangemaakte SPF-record, stelt Stip Hosting een ~all in.
SPF-record aanpassen omdat je tevens gebruik maakt van een externe maildienst
Maak je gebruik van een externe dienst voor het versturen van bijvoorbeeld nieuwsbrieven, dan moet je hiervoor toestemming geven via het SPF-record. Ook als je bijvoorbeeld naast de e-mail die verzonden wordt vanaf je website een eigen mailserver gebruikt voor je domeinnaam, moet je die whitelisten in het SPF-record.
Daarvoor voeg je de mailserver, of het het IP-adres ervan, toe aan het bestaande SPF-record door een ‘include’ toe te voegen aan het SPF-record. Je kunt ook simpelweg het extra IP-adres toevoegen. Voordat je het SPF-record aanpast, moet je weten wat je precies moet toevoegen. Gebruik je een externe maildienst, dan is er meestal meer informatie te vinden op de helppagina’s van de aanbieder.
Voorbeelden van geldige SPF-records zijn:
"v=spf1 a mx ip4:123.123.123.123 ip4:456.456.456.456 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 ~all"
"v=spf1 a mx ip4:123.123.123.123 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:_spf.google.com ~all"
- Klik in het overzicht van de DNS-records bij het SPF-record op het bewerkingssymbool.
- Vul bij Include de gewenste waarde in, bijvoorbeeld _spf.google.com.
- Klik op Edit.
SPF-record aanpassen omdat je volledig gebruik maakt van een externe maildienst
In deze situatie voeg je de mailserver toe in het SPF-record en stel je in DirectAdmin in dat de e-mail elders afgehandeld wordt. Sommige diensten geven voor het SPF-record instructies die vaak voor problemen zorgen.
Microsoft 365
Stel, je maakt gebruik van Microsoft 365. Microsoft geeft aan om daarvoor het volgende SPF-record te gebruiken:
"v=spf1 a mx include:spf.protection.outlook.com -all"
Dat kan, maar bedenk dan dat met een dergelijk SPF-record je website geen e-mail meer kan verzenden. Heb je bijvoorbeeld een contactformulier op je website staan, dan zullen de ingevulde formulieren niet bij jou terechtkomen. Alle e-mail die niet afkomstig is van de Microsoft 365 servers wordt automatisch geweigerd door de toevoeging -all.
Ook als je geen contactformulier hebt, kan je website je systeemmeldingen sturen, bijvoorbeeld als er een update beschikbaar is voor je CMS of een plugin. Firewall plugins in je website sturen meldingen over dubieuze inlogpogingen of andere verdachte zaken. Deze meldingen bereiken je niet als je het door Microsoft geadviseerde SPF-record klakkeloos overneemt.
Het is al beter om in zo’n geval -all te vervangen door ~all, maar je loopt de de kans dat e-mail vanaf je website niet in je inbox terechtkomt maar als spam wordt gezien. Beter is het om het ‘include’-deel toe te voegen aan het bestaande SPF-record. Het SPF-record komt er dan bijvoorbeeld zo uit te zien:
"v=spf1 a mx ip4:123.123.123.123 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:spf.protection.outlook.com ~all"
Of, als je wilt uitsluiten dat andere servers e-mail namens jou kunnen versturen:
"v=spf1 a mx ip4:123.123.123.123 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:spf.protection.outlook.com -all"
- Klik in het overzicht van de DNS-records bij het SPF-record op het bewerkingssymbool.
- Vul bij Include in: spf.protection.outlook.com
- Selecteer bij Mode de optie Fail.
- Klik op Edit.
- Klik op Home en vervolgens op MX Records onder het kopje E-Mail Manager.
- Verwijder het vinkje bij Use this server to handle my emails. If not, change the MX record and uncheck this option en klik op Save.
N.B. Microsoft stelt extra eisen aan de DNS-records om volledig gebruik te kunnen maken van alle diensten. Microsoft heeft hiervoor een handleiding, die wij hebben afgestemd op het gebruik op onze servers. Je kunt de stap-voor-stap handleiding vinden op onze help-pagina’s.
SPF-record controleren
Of een SPF-record technisch juist is opgebouwd kun je testen op MxToolbox.
